Tarea-3: Captura de tráfico de red con WireShark#

Equipo AMJ-GAB-TPKL

  • Alanis Martínez Jennifer
  • González Arreguín Bryan
  • Torres Partida Karen Larissa

Nota: Toda la tarea se elaboró en Windows.

Procedimiento#

Se instalaron las herramientas necesarias para la tarea, las cuales eran Wireshark y nmap.

Para eso primero se instaló chocolatey como venía en la página y después en powershell se ejecutaron los siguientes dos comandos:

    choco install wireshark
    choco install nmap

Luego se solicitó una nueva dirección IP al servidor DHCP con los siguientes comandos:

    ipconfig /realase
    ipconfig /renew

La salida de estos fue:

  • ipconfig /release

    Configuración IP de Windows
    
    No se puede realizar ninguna operación en Conexión de área local* 1 mientras los medios estén desconectados.
    No se puede realizar ninguna operación en Wi-Fi mientras los medios estén desconectados.
    No se puede realizar ninguna operación en Conexión de red Bluetooth mientras los medios estén desconectados.
    
    Adaptador de Ethernet Ethernet:
    
    Sufijo DNS específico para la conexión. . :
    Dirección IPv6 . . . . . . . . . . : 2806:106e:1e:5bc5::4
    Dirección IPv6 . . . . . . . . . . : 2806:106e:1e:5bc5:2c8a:a01f:8b63:e16b
    Dirección IPv6 . . . . . . . . . . : fd34:1e6b:4d32:6300:2c8a:a01f:8b63:e16b
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:39d4:cec3:d569:4893
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:40bc:77ba:d4ee:38da
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:899f:56cb:8c42:4b4c
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:e0f5:253d:c79c:31d0
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:39d4:cec3:d569:4893
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:40bc:77ba:d4ee:38da
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:899f:56cb:8c42:4b4c
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:e0f5:253d:c79c:31d0
    Vínculo: dirección IPv6 local. . . : fe80::2c8a:a01f:8b63:e16b%6
    Puerta de enlace predeterminada . . . . . : fe80::1%6
    
    Adaptador de Ethernet VirtualBox Host-Only Network:
    
    Sufijo DNS específico para la conexión. . :
    Vínculo: dirección IPv6 local. . . : fe80::2df7:f773:4125:b27d%19
    Dirección IPv4. . . . . . . . . . . . . . : 192.168.56.1
    Máscara de subred . . . . . . . . . . . . : 255.255.255.0
    Puerta de enlace predeterminada . . . . . :
    
    Adaptador de Ethernet VirtualBox Host-Only Network #2:
    
    Sufijo DNS específico para la conexión. . :
    Vínculo: dirección IPv6 local. . . : fe80::318d:e9ea:64cb:6d3%17
    Dirección IPv4. . . . . . . . . . . . . . : 192.168.57.1
    Máscara de subred . . . . . . . . . . . . : 255.255.255.0
    Puerta de enlace predeterminada . . . . . :
    
    Adaptador de LAN inalámbrica Conexión de área local* 1:
    
    Estado de los medios. . . . . . . . . . . : medios desconectados
    Sufijo DNS específico para la conexión. . :
    
    Adaptador de LAN inalámbrica Conexión de área local* 2:
    
    Estado de los medios. . . . . . . . . . . : medios desconectados
    Sufijo DNS específico para la conexión. . :
    
    Adaptador de LAN inalámbrica Wi-Fi:
    
    Estado de los medios. . . . . . . . . . . : medios desconectados
    Sufijo DNS específico para la conexión. . :
    
    Adaptador de Ethernet Conexión de red Bluetooth:
    
    Estado de los medios. . . . . . . . . . . : medios desconectados
    Sufijo DNS específico para la conexión. . :
    
  • ipconfig /renew

    Configuración IP de Windows
    
    No se puede realizar ninguna operación en Conexión de área local* 1 mientras los medios estén desconectados.
    No se puede realizar ninguna operación en Conexión de área local* 2 mientras los medios estén desconectados.
    No se puede realizar ninguna operación en Wi-Fi mientras los medios estén desconectados.
    No se puede realizar ninguna operación en Conexión de red Bluetooth mientras los medios estén desconectados.
    
    Adaptador de Ethernet Ethernet:
    
    Sufijo DNS específico para la conexión. . :
    Dirección IPv6 . . . . . . . . . . : 2806:106e:1e:5bc5::4
    Dirección IPv6 . . . . . . . . . . : 2806:106e:1e:5bc5:2c8a:a01f:8b63:e16b
    Dirección IPv6 . . . . . . . . . . : fd34:1e6b:4d32:6300:2c8a:a01f:8b63:e16b
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:39d4:cec3:d569:4893
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:40bc:77ba:d4ee:38da
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:899f:56cb:8c42:4b4c
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:e0f5:253d:c79c:31d0
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:39d4:cec3:d569:4893
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:40bc:77ba:d4ee:38da
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:899f:56cb:8c42:4b4c
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:e0f5:253d:c79c:31d0
    Vínculo: dirección IPv6 local. . . : fe80::2c8a:a01f:8b63:e16b%6
    Dirección IPv4. . . . . . . . . . . . . . : 192.168.1.64
    Máscara de subred . . . . . . . . . . . . : 255.255.255.0
    Puerta de enlace predeterminada . . . . . : fe80::1%6
                                        192.168.1.254
    
    Adaptador de Ethernet VirtualBox Host-Only Network:
    
    Sufijo DNS específico para la conexión. . :
    Vínculo: dirección IPv6 local. . . : fe80::2df7:f773:4125:b27d%19
    Dirección IPv4. . . . . . . . . . . . . . : 192.168.56.1
    Máscara de subred . . . . . . . . . . . . : 255.255.255.0
    Puerta de enlace predeterminada . . . . . :
    
    Adaptador de Ethernet VirtualBox Host-Only Network #2:
    
    Sufijo DNS específico para la conexión. . :
    Vínculo: dirección IPv6 local. . . : fe80::318d:e9ea:64cb:6d3%17
    Dirección IPv4. . . . . . . . . . . . . . : 192.168.57.1
    Máscara de subred . . . . . . . . . . . . : 255.255.255.0
    Puerta de enlace predeterminada . . . . . :
    
    Adaptador de LAN inalámbrica Conexión de área local* 1:
    
    Estado de los medios. . . . . . . . . . . : medios desconectados
    Sufijo DNS específico para la conexión. . :
    
    Adaptador de LAN inalámbrica Conexión de área local* 2:
    
    Estado de los medios. . . . . . . . . . . : medios desconectados
    Sufijo DNS específico para la conexión. . :
    
    Adaptador de LAN inalámbrica Wi-Fi:
    
    Estado de los medios. . . . . . . . . . . : medios desconectados
    Sufijo DNS específico para la conexión. . :
    
    Adaptador de Ethernet Conexión de red Bluetooth:
    
    Estado de los medios. . . . . . . . . . . : medios desconectados
    Sufijo DNS específico para la conexión. . :
    

Obtenemos la dirección MAC y IP de la interfaz de red

  • ipconfig /all
    Configuración IP de Windows
    
    Nombre de host. . . . . . . . . : DESKTOP-CQ25PN9
    Sufijo DNS principal  . . . . . :
    Tipo de nodo. . . . . . . . . . : híbrido
    Enrutamiento IP habilitado. . . : no
    Proxy WINS habilitado . . . . . : no
    
    Adaptador de Ethernet Ethernet:
    
    Sufijo DNS específico para la conexión. . :
    Descripción . . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
    Dirección física. . . . . . . . . . . . . : B0-83-FE-A1-18-4B
    DHCP habilitado . . . . . . . . . . . . . : sí
    Configuración automática habilitada . . . : sí
    Dirección IPv6 . . . . . . . . . . : 2806:106e:1e:5bc5::4(Preferido)
    Concesión obtenida. . . . . . . . . . . . : jueves, 28 de abril de 2022 11:53:26 p. m.
    La concesión expira . . . . . . . . . . . : sábado, 28 de mayo de 2022 11:53:23 p. m.
    Dirección IPv6 . . . . . . . . . . : 2806:106e:1e:5bc5:2c8a:a01f:8b63:e16b(Preferido)
    Dirección IPv6 . . . . . . . . . . : fd34:1e6b:4d32:6300:2c8a:a01f:8b63:e16b(Preferido)
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:39d4:cec3:d569:4893(Obsoleto)
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:40bc:77ba:d4ee:38da(Obsoleto)
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:899f:56cb:8c42:4b4c(Preferido)
    Dirección IPv6 temporal. . . . . . : 2806:106e:1e:5bc5:e0f5:253d:c79c:31d0(Obsoleto)
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:39d4:cec3:d569:4893(Obsoleto)
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:40bc:77ba:d4ee:38da(Obsoleto)
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:899f:56cb:8c42:4b4c(Preferido)
    Dirección IPv6 temporal. . . . . . : fd34:1e6b:4d32:6300:e0f5:253d:c79c:31d0(Obsoleto)
    Vínculo: dirección IPv6 local. . . : fe80::2c8a:a01f:8b63:e16b%6(Preferido)
    Dirección IPv4. . . . . . . . . . . . . . : 192.168.1.64(Preferido)
    Máscara de subred . . . . . . . . . . . . : 255.255.255.0
    Concesión obtenida. . . . . . . . . . . . : lunes, 2 de mayo de 2022 12:59:14 p. m.
    La concesión expira . . . . . . . . . . . : martes, 3 de mayo de 2022 12:59:14 p. m.
    Puerta de enlace predeterminada . . . . . : fe80::1%6
                                        192.168.1.254
    Servidor DHCP . . . . . . . . . . . . . . : 192.168.1.254
    IAID DHCPv6 . . . . . . . . . . . . . . . : 112231422
    DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-28-E4-9C-53-B0-83-FE-A1-18-4B
    Servidores DNS. . . . . . . . . . . . . . : 2806:1060:ffff:3::e
                                        2806:1070:ffff:3::e
                                        192.168.1.254
                                        2806:1060:ffff:3::e
                                        2806:1070:ffff:3::e
    NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado
    

Ahora obtenemos la dirección IPv4 y IPv6 del ruteador:

  • IPv6 : fe80::1%6
  • IPv4 : 192.168.1.254

Capturas de Trafico#

Para cada captura primero se tiene que limpiar la tabla ARP y luego se tiene que limpiar el caché DNS con los siguientes comandos:

    arp -d *
    netsh interface IP delete arpcache
    ipconfig /flushDNS

Y al final de cada captura se muestra la tabla ARP con el siguiente comando:

    arp -a

Capa 2 - Enlace#

Se usará el siguiente filtro:

arp or (ether src host 00:00:00:00:00:00 or ether dst host ff:ff:ff:ff:ff:ff)

Este sirve para

  • Capturar el tráfico en la red donde el protocolo sea ARP (Protocolo de resolución de direcciones)

  • O donde la dirección de origen sea 00:00:00:00:00:00 o la dirección de destino sea ff:ff:ff:ff:ff:ff.

Luego se hace el descubrimiento de la red con el siguiente comando:

    nmap -v -sP 192.168.1.0/24

El cual detallará (-v) el escaneo de la sub-red 192.168.1.0/24 la cual va de 192.168.1.0 a 192.168.1.255, donde determinará los host vivos dentro de esa red sin escanear los puertos (-sP).

La salida en terminal se encuentra Aquí.

Lo que capturo Wireshark (.pcapng) Aquí.

Este tráfico capturado lo separamos en Broadcast y ARP.

Donde el tráfico Broadcast son las capturas donde se le pregunta al router 192.168.1.64 a quién le pertenece cada IP.

Y las del tráfico ARP son las capturas de los host respondiendo a la máquina física con dirección MAC b0-83-fe-a1-18-4b, la dirección MAC a la que corresponde cada IP donde se haya encontrado un host.

También en la captura completa se encontró el protocolo NBNS donde el host con ip 192.168.1.88 solicitó una IP a partir del nombre de NetBIOS.

Capa 3 - Red#

Se usará el siguiente filtro:

ip6 or icmp or ( host ( 0.0.0.0 or 255.255.255.255 ) or ip6 host :: or ip6 net ::ffff )

Este sirve para

  • Capturar todo el tráfico IPv6

  • o el tráfico con protocolo ICPM (Control de Mensajes de Internet)

  • o el tráfico donde los paquetes tengan como dirección de destino o origen al host ::, el cual es la dirección IPv6 con puros ceros, o el tráfico donde su dirección de origen o destino pertenecen a la red ::ffff la cual es la que va de [0000:0000:0000:0000:0000:0000:0000:0000 - 0000:0000:0000:0000:ffff:ffff:ffff:ffff] esto fue calculado Aquí.

Luego ya con ese filtro se hizo lo siguiente:

Primero ping al router:

    ping -n 10 192.168.1.254
    ping -6 -n 10 fe80::1%6

El primero es para hacer un ping en IPv4 y el segundo para hacer un ping en IPv6, donde se mandarán 10 paquetes que se espera responda el router (-n 10).

Luego se hará ping hacia internet:

    ping -n 10 1.1.1.1
    ping -6 -n 10 2606:4700:4700::1111
    ping -n 10 www.fciencias.unam.mx
    ping -6 -n 10 www.unam.mx

Y por último se hizo el descubrimiento de la ruta hacia algunos destinos:

    tracert -d 1.1.1.1
    tracert -6 -d 2606:4700:4700::1111
    tracert -d www.fciencias.unam.mx
    tracert -6 -d www.unam.mx

tracert nos determinará una ruta hacia un destino, si tiene -6 será por IPv6, sino será por IPv4, la -d significa que no hará una búsqueda DNS en todas las direcciones IP.

La salida de todos esto comandos se encuentra Aquí.

Lo capturado en Wireshark se encuentra Aquí.

Capa 4 - Transporte#

Se usará el siguiente filtro:

udp port ( 53 or 67 or 68 ) or tcp port ( 22 or 53 or 5353 or 1024 or 16384 or 32768 or 49152 or 65535 )

Este sirve para

  • Capturar a los paquetes que tengan como puerto de origen o destino 53 o 67 o 68 en protocolo UDP.

  • O capturar a los paquetes que tengan como puerto de origen o destino 22 o 53 o 5353 o 1024 o 16384 o 32768 o 49152 o 65535 en protocolo TPC.

Las pruebas se hicieron con el siguiente comando a los puertos 22, 53, 5353, 80, 443, 1024, 16384, 32768, 49152, 65535, y todas al router

ncat -v 192.168.1.254 [port]

El cual ncat escaneará el puerto indicado, si se le agrega -u, se hará por UDP.

El archivo con las pruebas a los puertos en terminal se encuentra Aquí.

La captura hecha por Wireshark se encuentra Aquí.

Capa 7 - Aplicación#

Se usará el siguiente filtro:

(dst host (1.1.1.1 or example.com or 2606:4700:4700::1111)) or (src host (1.1.1.1 or example.com or 2606:4700:4700::1111))

Este sirve para

  • Captura todos los paquetes que tengan como dirección de destino a 1.1.1.1 or example.com or 2606:4700:4700::1111.

  • O captura a todos los paquetes que tengan como dirección de origen a 1.1.1.1 or example.com or 2606:4700:4700::1111.

Primero se hizo una resolución de DNS con nslookup:

    nslookup -type=A example.com. 1.1.1.1
    nslookup -type=AAAA example.com. 1.1.1.1

El tipo A es para IPv4 y el tipo AAAA es para IPv6.

Luego se hicieron conexiones HTTP y HTTPS con curl se usaron los siguientes comandos:

    .\curl.exe -vk#L http://1.1.1.1/ > $null
    .\curl.exe -vk#L http://[2606:4700:4700::1111]/ > $null
    .\curl.exe -4vk# http://example.com/
    .\curl.exe -6vk# http://example.com/
    .\curl.exe -4vk# https://example.com/
    .\curl.exe -6vk# https://example.com/

La salida de estos comandos en terminal se encuentra Aquí.

La captura hecha por Wireshark se encuentra Aquí.